Ausgangssituation:

Auf dem SEPPmail Secure E-Mail Gateway ist für einzelne oder alle GINA Domains die Einstellung Use virtual hosting aktiv.

 

Frage:

Weshalb werden GINA Domains vereinzelt von GINA-Benutzern nicht erreicht, beziehungsweise als unsicher angezeigt?
Beim Prüfen des auf der GINA-Webseite angezeigten Zertifikats fällt auf, dass dieses im Namen (CN) nicht die URL GINA-Webseite, sondern den des Zertifikates anzeigt, welches unter SSL zu finden ist.

Wie im Bild zu sehen, wurde die GINA-Webseite über den FQDN „securemail.mycompany.tld“ aufgerufen. Das von der Gegenstelle vorgezeigte Zertifikat ist jedoch für „provider.cloud“ ausgestellt.

 

Ursache:

Einige Web-Browser bieten eine Option zum Vorab-Laden von Webseiten an um das Browsen zu beschleunigen. Dies führt jedoch dazu, dass der angegebene Server Name beim Aufruf der jeweiligen Seite nicht mitgegeben wird (siehe gegebenenfalls „SNI“ Server Name Indication). Somit kann der Webserver - in diesem Fall also das SEPPmail Secure E-Mail Gateway - nicht mehr unterscheiden, welche URL vom GINA-Benutzer aufgerufen wurde. Somit wird das Standard-Zertifikat aus SSL vorgezeigt. Da die darin im CN enthaltene URL jedoch nicht der aufgerufenen URL entspricht, wird die Seite vom Browser nicht geöffnet oder als unsicher eingestuft.

 

Lösung:

Deaktivieren des Vorab-Ladens des eingesetzten Browser. In Google-Chrome wird dies beispielsweise abgestellt unter „Datenschutz und Sicherheit“ > „Seiten vorab laden, um das Surfen und die Suche zu beschleunigen“.